使用 iptables 阻止默认 IP 上的直接端口 80 访问？

Question

您可以设置 iptables 规则，仅允许 CloudFlare IP 通过端口 80 等访问您的 Nginx 实例。这可以通过首先创建一个ipsetCloudFlare 的 IPv4 范围列表（可从以下网址获取）来实现https://www.cloudflare.com/ips-v4)，然后应用适当的 iptables 规则来利用该集合。

类似下面的方法应该可以工作：

ipset -N cloudflare nethash

ipset -q -A cloudflare A.B.C.D/M
... [ repeat above for each entry in CF ips-v4 file ]

iptables -A INPUT -p tcp --dport 80 -m set --match-set cloudflare src -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

使用 CloudFlare Ray-ID 标头的更多 Nginx 技巧

对于每个前面有 CloudFlare 的站点，您也可以将此技巧应用于 Nginx。它会有效地检查 CloudFlareCF-Ray标头是否存在（采用预期格式）。如果不存在，则返回 444（立即丢弃请求）。

server {
    listen A.B.C.D:80;
    server_name _;
    if ($http_cf_ray !~ '^[0-9a-f]{16}-[A-Z]{3}$') { return 444; }
...

我想您也可以在此时禁用日志记录以进一步减轻任何过多的日志噪音（未经测试）：

    if ($http_cf_ray !~ '^[0-9a-f]{16}-[A-Z]{3}$') { access_log off; error_log off; return 444; }

Answer 1

您可以设置 iptables 规则，仅允许 CloudFlare IP 通过端口 80 等访问您的 Nginx 实例。这可以通过首先创建一个ipsetCloudFlare 的 IPv4 范围列表（可从以下网址获取）来实现https://www.cloudflare.com/ips-v4)，然后应用适当的 iptables 规则来利用该集合。

类似下面的方法应该可以工作：

ipset -N cloudflare nethash

ipset -q -A cloudflare A.B.C.D/M
... [ repeat above for each entry in CF ips-v4 file ]

iptables -A INPUT -p tcp --dport 80 -m set --match-set cloudflare src -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

使用 CloudFlare Ray-ID 标头的更多 Nginx 技巧

对于每个前面有 CloudFlare 的站点，您也可以将此技巧应用于 Nginx。它会有效地检查 CloudFlareCF-Ray标头是否存在（采用预期格式）。如果不存在，则返回 444（立即丢弃请求）。

server {
    listen A.B.C.D:80;
    server_name _;
    if ($http_cf_ray !~ '^[0-9a-f]{16}-[A-Z]{3}$') { return 444; }
...

我想您也可以在此时禁用日志记录以进一步减轻任何过多的日志噪音（未经测试）：

    if ($http_cf_ray !~ '^[0-9a-f]{16}-[A-Z]{3}$') { access_log off; error_log off; return 444; }

使用 iptables 阻止默认 IP 上的直接端口 80 访问？

答案1

使用 CloudFlare Ray-ID 标头的更多 Nginx 技巧

相关内容